多層防御は巧妙化するサイバー攻撃への対策として有効とされています。幾重にも防御壁を設けることで機密情報に到達される確率を下げていくことができます。ここでは多層防御の考え方と必要性を解説し、対策例と多層防御の実現に向けたポイントを紹介していきます。
目次
1.多層防御の考え方
もともとは軍事・戦闘の世界のDefense in Depth (縦深防御、深層防御) をITに応用したものです。縦深防御の例として何重もの壁で囲まれた城の防御があり、何層にも壁を設けることで敵の攻撃を遅らせる手法です。同様にITの世界でも幾重にも対策を施すことでインシデントの発生確率を下げていこうとする考え方です。
リスク管理をする上で、重大事故の裏には多数の微小事故があり、微小事故を防ぐために、幾重にも防御を重ねて、重大事故の発生確率を極限まで下げていくという発想が必要です。
ハインリッヒの法則という統計学的調査に基づく法則では、1件の重大事故の裏側には、29件の中程度の事故があり、さらにその裏側には300件の微小事故(ヒヤリハット)があるとされ、微小事故を防げば災害が無くなるという教訓を導き出しています。
このヒヤリハットを減らす考え方としてスイスチーズモデルがあります。スイスチーズには多数の穴が空いていますが、何枚も重ねると、貫通する可能性は低くなるという考え方です。
同様に、情報リスク管理においても、視点の異なる防御策(穴の特徴が違うスイスチーズ)を何重にも組み合わせることで、侵入や漏洩が発生する危険性を低減させることができます。
スイスチーズモデルでは、完璧な防護壁は存在しないと認識した上で、個々の防護壁が正しく機能するよう監視することが重要とされています。
2.多層防御が必要な理由
なぜ情報セキュリティ対策として多層防御が必要なのでしょうか。ここでは2つの傾向から必要性を考察します。
2-1 増え続ける新たなマルウェアへの対策
新しいマルウェアは増える一方です。2017年第2四半期に世界中で1分あたり405件、1秒あたり約7件サイバー上の脅威を検知しています。今日は防げたマルウェア・攻撃パターンも明日には形を変えてやってきて攻撃を受け防ぎ切れない可能性は十分あります。サイバーセキュリティは攻撃者が先行する性質がある以上、守る側としては、複数の防御壁を設けて、一つの壁を突破されても次の壁で阻止して、機密情報に到達されてしまう確率を下げていくことが大切です。
2-2 多様化する保護対象への対策
かつては社員に貸与するパソコンがネットワークとつながる=外部のセキュリティリスクにさらされる対象でした。しかし、現在では業務用にスマートフォンを使ったり、テレワークの浸透により社外のネットワークから社内の環境に入ったり、セキュリティ上の保護対象となる端末やネットワークが多様化しています。ファイアウォールの設置やアンチウィルスソフトの導入など一つの対策だけでは充分ではなく、目的に応じて対策を使い分けていく必要があります。
3.多層防御の具体例
それでは、情報セキュリティではどのように壁を設置していけばよいのでしょうか。
ここでは侵入対策・拡大対策・漏洩対策の3つの壁をベースに代表的な対策を紹介します。
3-1 侵入対策
3-1-1 ファイアウォール
組織にとって危険と思われる通信をブロックするソフトウェアで、インターネットと社内ネットワークの境界線に設置され、社内ネットワークの門番の役割を果たします。
3-1-2 IDS、IPS
IDS(Intrusion Detection System)は不正アクセスを検知し、アラートを出します。IPS(Intrusion Prevention System)は不正アクセスを検知した場合は通信を遮断し防御します。
3-2 拡大対策
3-2-1 エンドポイント
インターネットや社内LANに接続されたサーバー、パソコン、あるいはスマートフォンといった端末を守るための対策をします。
3-2-2 重要サーバーの隔離
機密情報のサーバーへの到達を防ぐ措置として重要情報はネットワークを切り離してオフラインで利用したり、そもそも重要情報を扱う業務端末はネットワークから切り離しておく運用も必要です。
3-3 漏洩対策
3-3-1 持ち出しの制御
インターネットやメール経由で社外にファイルを送る場合の対策として、特定サイトへのアップロードは禁止する、外部アドレスへ送信する際は事前許可制にする、アクセスログ・送信ログの取得・監視の実施などの対策があります。
3-3-2 データの暗号化
端末の紛失やメールの誤送信等の人的ミスによる漏洩、攻撃者によるデータの不正な持ち出しにより第三者に漏洩した場合の最終防御手段となります。
4.多層防御の実現に向けて必要なこと
4-1 セキュリティ責任者を設置する
多層防御はセキュリティを強固にすることは間違いないですが、エンドポイントやネットワークなどそれぞれの領域で、異なる担当者が権限を持ってしまうと、複数のセキュリティ商品を各担当が選定して導入してしまう可能性があります。
その結果、管理の負担が増えるだけでなく、それぞれがログ管理を始めて、連続したデータとして分析ができなくなり、重要なリスクを見逃す恐れがあります。
端末担当、サーバー担当、ネットワーク担当などが自分の担当エリアだけを考えて個別最適で動かないように、全体を俯瞰して決裁権限を持つCISOなどセキュリティ全体の責任者を設置しましょう。
また、部門間で作業の重複や一貫した状況把握ができない、横断的な報告ができない、個々の情報の関連性がわからないといったことが起こらないように統合したモニタリング環境の構築も必要です。
4-2 侵入前提に防御を固める
100%侵入を防御するという発想から、侵入される前提で持ち出しを防御する発想も持つ必要があります。上記で説明した通り、新たな攻撃・脅威は増える一方で、現実として防御側が後手に回る構図になっています。侵入されないに越したことはありませんし、入口の対策を疎かにしてよいという話ではありませんが、多層防御で情報システムの信頼性を高め、攻撃を見つけ対応するための時間を稼ぐという考え方も重要です。
著者:マカフィー株式会社 マーケティング本部
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)